Un utente malintenzionato può rallentare il mio server senza comprometterlo?

4

Abbiamo un server Linux con WHM / cPanel che è stato eseguito senza problemi per quasi 3 anni. Ieri, il server è diventato non rispondente (era sicuramente lì però) per circa un'ora. Poco dopo abbiamo ricevuto una e-mail che diceva che il nostro server è coinvolto in un netscan:

Mon Oct 8 03:30:24 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP 80

Mon Oct 8 02:57:16 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_2 80

Mon Oct 8 03:26:43 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80

Mon Oct 8 03:26:52 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80

Mon Oct 8 03:13:13 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80

Mon Oct 8 03:13:15 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_4 80

Mon Oct 8 03:21:23 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_4 80

...
...
MANY LINES LATER
... 
...

Mon Oct 8 02:45:11 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_1 1234

Mon Oct 8 03:19:43 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_2 1234

Mon Oct 8 03:24:00 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_3 1234

Il mio primo pensiero è che siamo stati compromessi, tuttavia dopo aver controllato i registri, le cronologie, i database, ecc. Non ne vedo alcuna indicazione. Ovviamente l'attaccante potrebbe aver coperto bene le loro tracce, ma a questo punto non vedo ragioni per credere altrimenti.

La mia domanda è: ci sono attacchi in cui un attacco può rimbalzare sul nostro server per colpire un altro server, rallentando così il nostro server ma non compromettendolo effettivamente? Se è così, come si chiamano così posso cercarli? Quindi sarebbe qualcosa di simile:

  • L'attaccante invia una moltitudine di pacchetti al mio server.
  • Il mio server riceve pacchetti sulle porte specificate (che sembrano 22 e 80). Il mio server analizza i pacchetti e dice "Questo pacchetto è pensato per SOME_IP sulla porta 80. Farò meglio a inoltrarli a loro"
  • Il mio server inoltra i pacchetti.

Qualsiasi aiuto sarebbe molto apprezzato.

    
posta Chris 08.10.2012 - 23:54
fonte

2 risposte

7

Leggi rapidamente l'articolo di Wikipedia sugli attacchi di riflessione: link

Usando lo spoofing dell'indirizzo Internet Protocol, l'indirizzo di origine è impostato a quello della vittima designata, il che significa che tutte le risposte andranno a (e inonderanno) il bersaglio.

È un modo relativamente facile per un aggressore di lanciare un attacco su larga scala da molti indirizzi IP contro un bersaglio.

    
risposta data 09.10.2012 - 00:27
fonte
2

Sicuramente suona come un attacco di tipo DoO su un indirizzo IP, non su un server compromesso (non si può presumere che sia così!) dato che si ha traffico esterno che colpisce il sistema, non proveniente dal proprio sistema. Il modo migliore per gestirli dipende dall'hardware disponibile, ed è meglio farlo nel perimetro della tua rete, in quanto manterrà l'intero carico di lavoro sul tuo server.

Questo tipo di attacco DoS è caratterizzato da un'ondata di pacchetti di syn da un singolo indirizzo sorgente, quindi durante un attacco il modo migliore per sconfiggerlo è semplicemente eliminare tutti i pacchetti da quell'indirizzo sorgente. Su un router Cisco applicherebbe una lista di accesso come questa:

ip access-list extended perimeter_block 10 deny ip any

ip access-list extended perimeter_block 100 consente qualsiasi ip

quindi applicalo all'interfaccia esterna:

ip access-group perimeter_block in

quindi salva la configurazione. Questo bloccherà il traffico destinato al tuo server da quell'indirizzo IP falsificato. Se hai un firewall invece di un router, dovresti avere le stesse 2 linee delle regole del firewall per bloccare il traffico da quell'IP.

Che si prenderà cura del traffico durante un attacco e riattiverà il server, ma è necessaria una soluzione che protegga il server dagli attacchi in primo luogo. Per questo è meglio usare la limitazione della velocità di sincronizzazione TCP. Questo può essere fatto su alcuni router e firewall o sul server usando IPtables. Ancora una volta, ti suggerirei di implementarlo sui tuoi dispositivi di rete perimetrale se puoi piuttosto che lasciarlo arrivare sul tuo server. Ecco come valutare il limite su Cisco utilizzando CAR e < a href="https://forum.suprbay.org/showthread.php?tid=123549"> IPtables .

    
risposta data 09.10.2012 - 09:44
fonte

Leggi altre domande sui tag